您当前的位置:首页 > TAG信息列表 > security
可以肯定地说,WordPress安全版本没有数据库升级
由于所有安全版本都基于最新发布的codebase+安全补丁,我认为可以肯定地说WordPress安全版本没有数据库升级,但我想我会在这里询问我的开发伙伴。有人知道有一个安全版本有吗?或者任何人都能想到一个可能包含数据库升级代码的情况吗?
启用两步身份验证的最佳方式
我正在寻找一些关于在WordPress中设置两步认证系统的指导。我查看了一些主要插件,它们似乎分为两大阵营:在登录表单中添加一个额外的字段除了标准的WP cookie之外,再添加一个身份验证cookie我真的不喜欢额外登录字段的UI,而且我觉得自己没有足够的知识来设置一个安全到值得使用的基于cookie的身份验证系统。我有没有第三种选择?注意:我确实看到了这个similar post, 但这主要是插件推荐,如果可能的话,我想自己写一些东西。Update: 由于我的站点将只有少数特权用户,我决定添加一个查询
Is that a malicious code?
最近我下载了一个wordpress主题。我使用主题真实性检查器(TAC)(http://wordpress.org/plugins/tac/) 插件以查找任何恶意数据。据报道,该主题包含一些像这样的加密代码$pid = base64_decode($_POST[\'control_id\']); 我不明白,这真的对网站有害吗?如果是,那么我如何才能摆脱这个?
Secret keys in SCM
我在Git存储库中安装了WordPress,我想知道8 \"secret keys\" 存储在那里,或者我是否应该在部署期间插入它们。
强化的WordPress Linux安装
在Linux上进行wordpress强化安装有什么最佳实践吗?我最近有一个WAMP服务器通过word press受到恶意软件攻击,因此我想使用只读apache权限加强服务器,并将其和所有未来的wordpress站点移动到Linux only该计划:chown everything root:root-R,这样apache就不能写任何东西了,这样只有所有者才能写chmod,只需将wordpress的上传/更新文件/主题/目录上传到apache:root,这最后一位是我需要帮助的位,你能告诉我wordpres
Hiding Media Source Links
我从WordPress媒体(添加媒体->媒体库->链接到=无)在页面上插入了一个图像。然而,当我右键单击页面查看源代码时,我注意到媒体的地址。如何隐藏此地址?我认为WordPress站点所在的文件夹(my\\u重命名的WordPress\\u目录)很容易看到,这是一种安全风险。我该如何隐藏这个?添加图像时,我选择Link To: None. 我们将不胜感激。谢谢<a href=\"http://mysite.com/\" target=\"_blank\"><img src=
如何确定注册的用户是否为垃圾用户?
我最近用bbpress插件在我的网站上建立了一个论坛。现在,一个用户已经在该网站上注册,但电子邮件地址在我看来很可疑。如何确定用户是否真实?如果是垃圾邮件并且我没有删除该用户,是否存在安全风险?谢谢
不需要的链接和垃圾邮件WordPress页面和帖子
在网站管理员工具中,我发现了一些谷歌蜘蛛的爬行错误。例如http://mydomain.com/my-page/de/roulette.html他们说他们无法爬行到此页面。。但这是什么样的页面?那里有什么?我检查了链接,我的网站说该页面不存在。然后我注意到我的“Akismet”没有激活。。。因此,我现在将激活它,如何删除我网站中的额外链接?
WP_INSERT_COMMENT和安全性
I am using wp_insert_comment to offer an in-house better ajax conditional comments interface. i got it all working great. my only question is.我应该采取什么安全措施来确保我留下安全漏洞?评论是通过ajax提交的,因此在接收数据的php文件中,我使用$\\u POST收集数据。您将如何处理这些输入,使其尽可能防弹I know how to secure forms s
将媒体/上传设置为仅对登录用户私有的分步说明
全部的我通过谷歌搜索找到了这个网站,这让我想到了这个主题:How to Protect Uploads, if User is not Logged In?看起来这个解决方案适合我的情况(包括哈克雷的加入)。然而,我很难找到我将如何将所有这些整合起来并在我的WP站点上实现它。所以,我想知道是否有人会。。。“感兴趣”。。。将如何实施该解决方案的分步指南放在一起。对于某些背景。。。我的网站正在使用Members插件(http://wordpress.org/plugins/members/) 使用OneAll
为什么WordPress需要我的ssh私钥来更新?
将WordPress配置为在应用程序(即WordPress)中进行更新对我来说非常方便。尽管如此,我还是被这些要求所困扰。之后显示的请求字段installing ssh2 for php 不仅要询问我的公钥,还要询问我的私钥。我认为,最多只需要公钥。WordPress是否将我的私钥提供给服务器,以便服务器可以将正确的软件包上载到我的服务器?我熟悉SSH私钥/公钥的工作原理,这就是为什么我不明白WordPress为什么需要这个。如果有的话,我认为更新机制甚至不需要这个协议;它只需使用http或ftp到包服务
在我的插件中使用WP随机数时出现混乱
我创建了一个小插件,用户可以通过单击Add New 从元框链接并删除它们。用户可以使用Set featured image 链接以从媒体库中选择特色图像。这个Add New 链接克隆(使用javascript)以前的元框(使用适当的过滤器)以创建新的元框,而“删除”按钮将删除元框。Problem and Questions<对于生成的每个元框,我当前只使用单个nonce字段。许多以前的线程建议应该为每个元框添加新的nonce字段。如果使用javascript克隆框,如何创建不同的nonce字段?我应
将WordPress从公共目录中移出
有没有办法将wordpress移出公共html目录?应托管负责生成html输出的PHP文件,但不应托管负责数据库连接和其他逻辑的PHP文件。托管文件可以通过以下方式将其包括在内:../../NotPublic/wp-admin/...Symfony做到了这一点,实际上只有一个托管php。有关为什么这是一个好主意的更多解释,您可以查看this 视频我试图找到有关如何执行此操作的说明,但找不到。Worpress似乎很难区分需要在公共目录中生成输出的php文件和那些执行任务且不能通过web服务器请求的php文件
从受密码保护的页面注销后使密码无效
在一个基于WP的网站中,我有一个自定义表单,我需要对公众隐藏该表单,只允许少数人访问,然后他们会从我那里获得密码,输入密码,访问表单并提交。在提交表单时,我将它们重定向到另一个页面。我在我的functions.php, 一旦重定向,就会将其从受密码保护的页面中注销:add_action( \'wp\', \'post_pw_sess_expire\' ); function post_pw_sess_expire() { if ( isset( $_COOKIE[\'wp-
Config file with no Keys..?
我正在为一个在wp配置文件中没有任何密钥的人开发一个网站。这不是一个严重的问题吗?我知道我可以生成这些,但我想知道这是否会有任何副作用。。此外,由于该网站遭到黑客攻击,目前是否存在安全风险。示例:define(\'AUTH_KEY\', \'put your unique phrase here\'); define(\'SECURE_AUTH_KEY\', \'put your unique phrase here\'); define(\'LOGGED_IN_KEY\', \'put
移交管理员权限是否安全?
我有一个共享的网络托管帐户,在那里我有几个不同的网站在WordPress上运行。我想把WordPress安装的管理权限交给某人,我想知道这有多安全。这个拥有一个WordPress安装的管理员权限的人能否改变或做任何事情来损害这个共享托管帐户上的任何其他WordPress安装?我希望他们能够下载插件等,并为特定的WordPress安装做任何他们需要的事情,但我不希望他们能够运行任何脚本等,这些脚本可能会干扰任何其他WordPress安装。
通过.htaccess将内容限制为仅供参与者使用
我一直在使用此代码限制仅登录用户从wp内容/上传下载内容: RewriteEngine On RewriteBase / # Add these lines right after the preceding two RewriteCond %{REQUEST_FILENAME} ^.*(pdf|docx)$ RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC] RewriteRule . -
Nonces and Cache
很明显,表单提交和AJAX请求,尤其是合理的请求,需要“nonces”来避免某些攻击。然而,随着高速缓存系统的大量使用,很难生成它们并输出新的nonce而不是高速缓存的nonce。为了解决这个问题,我考虑创建一个AJAX函数,返回一个新的nonce,在提交表单之前进行请求。然后,此nonce将作为隐藏字段附加到表单中。你认为这是一种安全的方法吗?返回新nonce的PHP函数:function create_nonce() { return wp_create_nonce(\'my-nonc
被禁用的插件是安全漏洞--谣言还是现实?
我读过许多WordPress安全博客文章,其中安全专家建议在有人担心WordPress网站安全时采取一些特殊措施。其中之一是:WordPress安全提示:Remove unnecessary plugins, that are not in use.无论是通过代码、结构还是数据库连接,一个有安全漏洞的插件对于一个站点来说都是致命的,即使它是在一个站点上激活的。另一方面,一个结构良好、编码良好、安全连接db的插件即使停用,也可能没有安全漏洞。那么问题到底在哪里?我有一个网站,里面有一些我偶尔使用的插件。我其
is this code properly secured
输入将是地址。这是我从抄本中收集到的信息。请参见此处:codex$wpdb->insert($address_table, array(\'address\' => $address),array(\'%s\'));